- はじめに
- 概要
- CLIの使用方法
- CMSの使用方法
- スイッチのIPアドレスおよびデフォル ト ゲートウェイの割り当て
- スイッチ スタックの管理
- スイッチのクラスタ設定
- スイッチの管理
- SDMテンプレートの設定
- スイッチベースの認証の設定
- 802.1xポートベースの認証の設定
- インターフェイス特性の設定
- SmartPortマクロの設定
- VLANの設定
- VTPの設定
- 音声VLANの設定
- STPの設定
- MSTPの設定
- オプションのスパニングツリー機能の 設定方法
- DHCP機能の設定
- IGMPスヌーピングおよびMVRの設定
- ポートベースのトラフィック制御の設 定
- CDPの設定
- UDLDの設定
- SPANおよびRSPANの設定
- RMONの設定
- システム メッセージ ロギングの設定
- SNMPの設定
- ACLによるネットワーク セキュリティ の設定
- QoSの設定
- EtherChannelの設定
- IPユニキャスト ルーティングの設定
- HSRPの設定
- IPマルチキャスト ルーティングの設定
- MSDPの設定
- 代替ブリッジングの設定
- トラブルシューティング
- サポートされているMIB
- Cisco IOSファイル システム、コン フィギュレーション ファイル、および ソフトウェア イメージの操作
- Cisco IOS Release 12.1(19)EA1で サポートされていないコマンド
- 索引
Catalyst 3750 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.1(19)EA1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: 802.1xポートベースの認証の設定
802.1xポートベースの認証の設定
この章では、Catalyst 3750スイッチでIEEE 802.1xポートベースの認証を設定する方法について説明します。 LANが、ホテル、空港、企業のロビーなどに拡張されると、安全とは言えない環境になりますが、802.1xを使用すれば、無許可のデバイス(クライアント)がネットワークへアクセスするのを防ぐことができます。 特に明記しないかぎり、 スイッチ という用語はスタンドアロン スイッチおよびスイッチ スタックを意味します。
(注) この章で使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。
802.1xポートベースの認証の概要
IEEE 802.1x規格は、クライアント/サーバ ベースのアクセス制御と認証プロトコルについて定義し、不正なクライアントが公的にアクセス可能なポートを介してLANに接続するのを制限します。認証サーバは、スイッチ ポートに接続された各クライアントを認証してから、スイッチまたはLANが提供するサービスを利用できるようにします。
クライアントが認証されるまでは、802.1xアクセス制御によって、クライアントに接続したポートを経由するExtensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP)、およびSpanning-Tree Protocol(STP;スパニングツリー プロトコル)トラフィックだけを許可します。認証が成功すると、通常のトラフィックがポートを通過できます。
デバイスの役割
802.1xポートベース認証を使用すると、ネットワーク内のデバイスは図 10-1のような特定の役割が割り当てられます。
•
クライアント ― LANおよびスイッチへのアクセスを要求して、スイッチからの要求に応答するデバイス(ワークステーション)。ワークステーションでは、Microsoft Windows XPオペレーティング システムなど、802.1x準拠のクライアント ソフトウェアが稼働する必要があります(クライアントは、IEEE 802.1x規格の supplicant になります)。
(注) Windows XPネットワーク接続および802.1x認証の問題を解決するには、次のURLにアクセスしてMicrosoft Knowledge Base Articleを参照してください。http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP
• 認証サーバ ― 実際にクライアントの認証を行います。認証サーバは、クライアントのIDを確認し、クライアントのLANおよびスイッチ サービスへのアクセスを許可するかどうかをスイッチに通知します。スイッチはプロキシとして機能するので、認証サービスはクライアントにトランスペアレントです。このリリースでサポートされている認証サーバは、Extensible Authentication Protocol(EAP)拡張機能を装備したRemote Authentication Dial-In User Service(RADIUS)セキュリティ システムだけです。これは、Cisco Secure Access Control Serverバージョン3.0以上に対応しています。RADIUSは、RADIUSサーバと1つまたは複数のRADIUSクライアント間で安全な認証情報が交換されるクライアント/サーバ モデルで動作します。
• スイッチ (エッジ スイッチまたは無線アクセス ポイント) ― クライアントの認証ステータスに基づいてネットワークへの物理的なアクセスを制御します。スイッチは、クライアントと認証サーバとの間の媒介(プロキシ)として機能し、クライアントにID情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチにはRADIUSクライアントが組み込まれています。RADIUSクライアントは、EAPフレームのカプセル化/カプセル化解除、および認証サーバとの相互作用の役割を果たします。
スイッチがEAPOLフレームを受信して認証サーバにリレーすると、イーサネット ヘッダーが取り除かれ、残りのEAPフレームがRADIUS形式で再度カプセル化されます。EAPフレームはカプセル化の間は変更や検査が行われず、認証サーバはネイティブのフレーム形式でEAPをサポートする必要があります。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、EAPフレームが残ります。これがイーサネット用にカプセル化されてクライアントに送信されます。
媒介として機能できるデバイスには、Catalyst 3750、Catalyst 3560、Catalyst 3550、Catalyst 2970、Catalyst 2955、Catalyst 2950、Catalyst 2940スイッチ、または無線アクセス ポイントがあります。これらのデバイスは、RADIUSクライアントおよび802.1xをサポートするソフトウェアを実行している必要があります。
認証の開始とメッセージ交換
スイッチまたはクライアントは、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにする場合、スイッチは、リンク ステートがダウンからアップに移行したときに、認証を開始する必要があります。次にEAP要求/アイデンティティ フレームをクライアントに送信してアイデンティティを要求します(一般に、スイッチは最初のアイデンティティ/要求フレームを送信して、そのあとで1つまたは複数の認証情報の要求を送信します)。フレームの受信後、クライアントはEAP応答/アイデンティティ フレームで応答します。
ただし、起動中にクライアントがスイッチからEAP要求/アイデンティティ フレームを受信しない場合は、クライアントは、EAPOL開始フレームを送信して認証を開始できます。これにより、スイッチはクライアントのアイデンティティを要求するようになります。
(注) ネットワーク アクセス デバイスで802.1xがイネーブルになっていないかサポートされていない場合は、クライアントからのEAPOLフレームは廃棄されます。認証の開始を3回試行してもクライアントがEAP要求/アイデンティティ フレームを受信しない場合は、クライアントは、ポートが許可ステートであるものとしてフレームを送信します。許可ステートにあるポートは、事実上クライアントが正常に認証されたということです。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。
クライアントがそのアイデンティティを供給すると、スイッチは媒介としての役割を開始し、認証が成功または失敗するまでクライアントと認証サーバとの間でEAPフレームを受け渡します。認証が成功すると、スイッチのポートは許可された状態になります。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。
特定のEAPフレーム交換は、使用される認証方式に依存します。図 10-2に、RADIUSサーバでOne Time Password(OTP;ワンタイム パスワード)認証方式を使用するクライアントによって開始されるメッセージ交換を示します。
許可ステートおよび無許可ステートのポート
スイッチのポート ステートに応じて、スイッチはクライアントのネットワークへのアクセスを許可します。ポートは、 無許可 ステートで開始します。このステートにある間は、ポートは、802.1x、CDP、STPのプロトコル パケットを除くすべての入トラフィックおよび出トラフィックを許可しません。クライアントが正常に認証されると、ポートは 許可 ステートに移行し、そのクライアントへのすべてのトラフィックは通常のフローが許可されます。
802.1xをサポートしないクライアントが無許可の802.1xポートに接続している場合は、スイッチはクライアントにアイデンティティを要求します。この場合、クライアントは要求に応答できないので、ポートは無許可ステートのままで、クライアントはネットワーク アクセスが許可されません。
対照的に、802.1x対応クライアントが802.1xプロトコルを実行していないポートに接続している場合、クライアントはEAPOL開始フレームを送信して認証プロセスを開始します。応答が得られなかった場合、クライアントは要求を一定の回数だけ送信します。応答が得られないので、クライアントはポートが許可ステートにあるものとしてフレームの送信を開始します。
ポートの許可ステートを制御するには、 dot1x port-control インターフェイス コンフィギュレーション コマンドと以下のキーワードを使用します。
• force-authorized ― 802.1x認証をディセーブルにして、認証情報の交換を要求せずにポートを許可ステートに移行させます。ポートは、クライアントの802.1xベースの認証なしで通常のトラフィックを送受信します。これがデフォルト設定です。
• force-unauthorized ― ポートを無許可ステートのままにし、クライアントが認証を試みてもすべて無視します。スイッチは、ポートを介してクライアントに認証サービスを提供できません。
• auto ― 802.1x認証をイネーブルにして、ポートに無許可ステートで開始させ、EAPOLフレームだけがポート経由で送受信できるようにします。ポートのリンク ステートがダウンからアップに移行するか、EAPOL開始フレームを受信すると、認証プロセスが開始されます。スイッチは、クライアントのアイデンティティを要求し、クライアントと認証サーバ間で認証メッセージのリレーを開始します。スイッチはネットワークにアクセスしようとする各クライアントを、クライアントのMACアドレスを使用して一意に識別します。
クライアントが正常に認証されると(認証サーバからAcceptフレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントのフレームはすべてそのポート経由で送受信を許可されます。認証が失敗した場合は、ポートは無許可ステートのままですが、認証を再試行できます。認証サーバにアクセスできない場合、スイッチは要求を再送信できます。指定された試行回数のあとでもサーバから応答が得られない場合は、認証が失敗し、ネットワーク アクセスは許可されません。
クライアントはログオフするとEAPOLログオフ メッセージを送信します。これにより、スイッチ ポートは無許可ステートに移行します。
ポートのリンク ステートがアップからダウンに移行した場合、またはEAPOLログオフ フレームを受信した場合は、ポートは無許可ステートに戻ります。
サポート対象トポロジー
802.1xポートベースの認証は、次の2つのトポロジーでサポートされています。
ポイントツーポイント(802.1xデバイスの役割を参照)では、802.1x対応のスイッチ ポートに接続できるクライアントは1台だけです。スイッチは、ポートのリンク ステートがアップに変化すると、クライアントを検出します。クライアントがログオフするか、別のクライアントに交換されると、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。
図 10-3に、無線LANでの802.1xポートベースの認証を示します。802.1xポートは複数ホスト ポートとして設定されており、このポートは1つのクライアントが認証されるとすぐに許可ステートになります。ポートが許可されると、そのポートに間接的に接続されている残りのホストはすべて、ネットワーク アクセスを許可されます。ポートが無許可になると(再認証が失敗するか、EAPOLログオフ メッセージを受信する)、スイッチは、接続しているすべてのクライアントに対してネットワーク アクセスを拒否します。このトポロジーでは、無線アクセス ポイントは、接続しているクライアントを認証する役割があり、スイッチに対してクライアントとして機能します。
802.1xとポート セキュリティの使用方法
単一ホスト モードまたは複数ホスト モードのどちらかで、802.1xポートおよびポート セキュリティを設定できます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定しなければなりません)。ポート上のポート セキュリティと802.1xをイネーブルにすると、802.1xがポートを認証し、ポート セキュリティがクライアントのMACアドレスを含むすべてのMACアドレスについてネットワーク アクセスを管理します。この場合、802.1xポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。
たとえば、スイッチにおいて、802.1xとポート セキュリティの間には次のような相互作用があります。
• クライアントが認証され、ポート セキュリティ テーブルがいっぱいになっていない場合、クライアントのMACアドレスがセキュア ホストのポート セキュリティ リストに追加されます。追加されると、ポートが通常どおりアクティブになります。
クライアントが認証されてポート セキュリティが手動で設定された場合、セキュア ホスト テーブル内のエントリを保証されます(ポート セキュリティのスタティック エージングがイネーブルになっていない場合)。
クライアントが認証されてもセキュリティ テーブルがいっぱいの場合は、セキュア違反が発生します。これは、セキュア ホストの最大数がスタティックに設定されているか、またはセキュア ホスト テーブルでのクライアントの有効期限が切れた場合に発生します。クライアントのアドレスの有効期限が切れた場合、そのクライアントのセキュア ホスト テーブルの位置は他のホストに取って代わられます。
最初の認証ホストによってセキュリティ違反が引き起こされた場合、ポートはerrdisableとなり、すぐにシャットダウンされます。
ポート セキュリティ違反モードは、セキュリティ違反の動作を判別します。詳細については、「セキュリティ違反」を参照してください。
• no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して、802.1xクライアントのアドレスをポート セキュリティ テーブルから手動で削除した場合は、dot1x re-authenticate interface interface-id イネーブルEXECコマンドを使用して802.1xクライアントを再認証する必要があります。
• 802.1xクライアントがログオフすると、ポートが無許可ステートに移行し、クライアントのエントリを含むセキュア ホスト テーブル内のすべてのダイナミック エントリがクリアされます。ここで通常の認証が実行されます。
• ポートが管理上の理由からシャットダウンされる場合、ポートは無許可ステートになりすべてのダイナミック エントリはセキュア ホスト テーブルから削除されます。
• ポート セキュリティと音声VLANは、単一ホストまたは複数ホスト モードのどちらかで、802.1xポートに同時に設定できます。ポート セキュリティは、voice VLAN identifier(VVID;音声VLAN ID)とport VLAN identifier(PVID;ポートVLAN ID)の両方に適用されます。
スイッチのポート セキュリティをイネーブルにする方法の詳細については、「ポート セキュリティの設定」を参照してください。
802.1xと音声VLANポートの使用方法
音声VLANポートは、2つのVLAN IDに関連付けられた特殊なアクセス ポートです。
• IP Phoneの入出音声トラフィックを搬送するためのVVID。VVIDは、ポートに接続されているIP Phoneを設定するために使用されます。
• IP Phoneを通じてスイッチと接続しているワークステーションの入出データ トラフィックを搬送するためのPVID。PVIDは、ポートのネイティブVLANです。
音声VLANに設定された各ポートに、PVIDとVVIDが関連付けられます。この設定によって、音声トラフィックとデータ トラフィックを異なるVLANに分離することができます。
Cisco IOS Release 12.1(14)EA1より前のリリースでは、単一ホスト モードのスイッチは単一ホストからのトラフィックのみを受け取り、音声トラフィックは受信できませんでした。複数ホスト モードでは、スイッチはクライアントがプライマリVLAN上で認証されるまで音声トラフィックを受け取れなかったため、IP Phoneはユーザがログインするまで動作不能でした。
Cisco IOS Release 12.1(14)EA1以上では、IP Phoneは、ポートの許可ステートまたは無許可ステートに関わらず、音声トラフィック用としてVVIDを使用します。これによって、IP Phoneは802.1x認証とは独立して動作できます。
単一ホスト モードをイネーブルにすると、そのVVIDによって複数のIP Phoneが許可されます。ただし、PVIDでは、1つの802.1xクライアントしか許可されません。複数ホスト モードをイネーブルにする場合に802.1xユーザがプライマリVLANで認証されている場合、802.1x認証がプライマリVLANで成功すれば音声VLANへ無制限にクライアントを追加できます。
リンクが存在していれば音声VLANポートはアクティブになり、IP Phoneからの最初のCDPメッセージを受け取るとデバイスのMACアドレスが明らかになります。Cisco IP Phoneは、他のデバイスからのCDPメッセージをリレーしません。そのため、複数のIP Phoneが直列で接続されても、スイッチは自身に直接接続されたIP Phoneしか認識しません。音声VLANポートで802.1xをイネーブルにすると、スイッチは2ホップ以上離れた認識されていないIP Phoneからのパケットは廃棄します。
802.1xをポートでイネーブルにすると、音声VLANと同じようにポートVLANを設定できません。
音声VLANの詳細については、 第15章「音声VLANの設定」 を参照してください。
802.1xとVLAN割り当ての使用方法
Cisco IOS Release 12.1(14)EA1より古いリリースでは、802.1xポートが認証されると、RADIUSサーバがデータベースから許可済みVLANの情報を戻しても、そのポートは自身に設定されたアクセスVLANに対して許可されていました。アクセスVLANは、アクセス ポートに割り当てられたVLANであり、このポートとの間で送受信されたすべてのパケットは、このVLANに属しています。
ただし、Cisco IOS Release 12.1(14)EA1以上では、スイッチは802.1xとVLAN割り当てをサポートしています。ポートの802.1x認証が成功すると、RADIUSサーバは、スイッチ ポートを設定するためにVLAN割り当てを送信します。RADIUSサーバのデータベースは、ユーザ名/VLANの対応を維持します。この対応では、スイッチ ポートに接続するクライアントのユーザ名に基づいてVLANを割り当てています。この機能を使用して、特定ユーザのネットワーク アクセスを制限できます。
スイッチとRADIUSサーバを設定する場合、802.1xとVLAN割り当てには次の特性があります。
• RADIUSサーバがVLANを割り当てていないか、または802.1x許可がディセーブルの場合、認証が成功したあとにポートはアクセスVLANに設定されます。
• 802.1x認証がイネーブルだが、RADIUSサーバからのVLAN情報が有効でない場合には、ポートは無許可ステートを戻し、設定済みのアクセスVLAN内に留まります。これにより、設定エラーによって不適切なVLAN上にポートが突然現れることを防ぎます。
設定エラーには、ルーテッド ポートへのVLANの指定、間違ったVLAN ID、存在しないまたは内部(ルーテッド ポートの)のVLAN ID、あるいは音声VLAN IDへの割り当て試行、などがあります。
• 802.1x許可がイネーブルでRADIUSサーバからのすべての情報が有効の場合、ポートは認証が成功したあと指定したVLANに配置されます。
• 802.1xポートで複数ホスト モードがイネーブルの場合は、全てのホストが最初に認証されたホストと同じVLAN(RADIUSサーバによって指定された)に配置されます。
• 802.1xとポート セキュリティがポート上でイネーブルの場合は、そのポートはRADIUSサーバによって割り当てられたVLANに配置されます。
• 802.1xがポートでディセーブルの場合は、設定済みのアクセス VLANに戻ります。
ポートが強制許可(force authorized)、強制無許可(force unauthorized)、無許可、シャットダウンのいずれかのステートの場合、そのポートは設定済みのアクセスVLANに配置されます。
802.1Xポートが認証され、RADIUSサーバによって割り当てられたVLANに配置された場合、ポートのアクセスVLAN設定への変更は反映されません。
VLAN割り当て機能付きの802.1xは、トランク ポート、ダイナミック ポート、またはVLAN Membership Policy Server(VMPS)を使用したダイナミック アクセス ポート割り当てではサポートされていません。
VLAN割り当てを設定するには、次の作業を実行する必要があります。
• network キーワードを使用してAAA許可をイネーブルにし、RADIUSサーバからのインターフェイス設定を可能にします。
• 802.1xをイネーブルにします。(VLAN割り当て機能は、アクセス ポートに802.1xが設定されると自動的にイネーブルになります)。
• RADIUSサーバにベンダー固有のトンネル アトリビュートを割り当てます。RADIUSサーバは次のアトリビュートをスイッチに戻さなければなりません。
–[81] トンネル プライベート グループID = VLAN名またはVLAN ID
アトリビュート[64]は、値 VLAN (type 13)でなければなりません。アトリビュート[65]は、値 802 (type 6)でなければなりません。アトリビュート[81]には、802.1x認証ユーザに割り当てられた VLAN名 または VLAN ID を指定します。
トンネル アトリビュートの例については、「ベンダー固有のRADIUSアトリビュート用にスイッチを設定する方法」を参照してください。
802.1xとゲストVLANの使用方法
スイッチ上の各802.1xポートにゲストVLANを設定し、クライアントへのサービスを限定できます(たとえば、802.1xクライアントのダウンロード方法)。これらのクライアントは802.1x認証対応のシステムにアップグレードされている場合もあれば、Windows 98システムなどの一部のホストは802.1xに対応していない場合もあります。
認証サーバがEAPOL要求/アイデンティティ フレームへの応答を受信しなかった場合、802.1x非対応のクライアントはポートのゲストVLAN(設定されている場合)に配置されます。ただし、サーバは、ネットワークへの認証アクセスに失敗した802.1x対応のクライアントは許可しません。スイッチ ポートがゲストVLANに移動された場合には、無制限にホストにアクセスが許可されます。802.1x対応のホストが、ゲストVLANが設定されているポートと同じポートに結合すると、そのポートはユーザ設定済みのアクセスVLAN内で無許可ステートに移行し、認証がやり直されます。
ゲストVLANは、単一ホストまたは複数ホスト モードの802.1xポートでサポートされています。
RSPAN VLANまたは音声VLANを除き、任意のアクティブVLANを802.1xゲストVLANとして設定できます。ゲストVLAN機能は、内部VLAN(ルーテッド ポート)またはトランク ポートではサポートされていません。アクセス ポート上でのみサポートされます。
詳細については、「ゲストVLANの設定」を参照してください。
802.1xとユーザ単位ACLの使用方法
ユーザ単位のAccess Control List(ACL;アクセス制御リスト)をイネーブルにして、802.1x認証ユーザが異なるレベルのネットワーク アクセスやサービスを使えるようにできます。RADIUSサーバは、802.1xポートに接続されているユーザを認証すると、ユーザIDに基づきACLアトリビュートを検索し、それらをスイッチへ送信します。スイッチは、ユーザ セッションの間、それらのアトリビュートを802.1xポートに適用します。スイッチは、セッションの終了後、認証が失敗した場合、またはリンクダウン状態の発生時に、ユーザ単位のACL設定を削除します。スイッチは、RADIUS固有のACLを実行コンフィギュレーションには保存しません。ポートが無許可の場合、スイッチはそのポートからACLを削除します。
同じCatalyst 3750スイッチ上で、ACLの設定およびポートACLの入力を行うことができます。ただし、ポートACLはルータACLよりも優先されます。入力済みのポートACLをVLANに属するインターフェイスに適用する場合、ポートACLはVLANインターフェイスに適用する入力済みのルータACLよりも優先されます。ポートACLが適用されたポート上で受信した着信パケットは、ポートACLによってフィルタリングされます。その他のポートに着信したルーテッド パケットは、ルータACLによってフィルタリングされます。発信されるルーテッド パケットは、ルータACLによってフィルタリングされます。設定の矛盾を回避するには、RADIUSサーバに保存するユーザ プロファイルを慎重に計画しなければなりません。
RADIUSは、Vendor Specific Attribute(VSA)などのユーザ単位アトリビュートをサポートします。これらのVSAは、オクテット ストリング形式で、認証プロセス中にスイッチに渡されます。ユーザ単位ACLに使用されるVSAは、入力方向では inacl#< n > で、出力方向では outacl#< n > です。MAC ACLは、入力方向でのみサポートされます。Catalyst 3750スイッチは、入力方向でのみVSAをサポートします。レイヤ2ポートの出力方向ではポートACLをサポートしません。詳細については、 第28章「ACLによるネットワーク セキュリティの設定」 を参照してください。
拡張ACL構文形式のみを使用して、RADIUSサーバに保存するユーザ単位の設定を定義します。RADIUSサーバから定義が渡される場合、拡張命名規則を使用して作成されます。ただし、フィルタ IDアトリビュートを使用する場合、標準ACLを示すことができます。
フィルタIDアトリビュートを使用して、すでにスイッチに設定されている着信または発信ACLを指定できます。アトリビュートには、ACL番号と、そのあとに入力フィルタリングか出力フィルタリングを示す .in または .out が含まれています。RADIUSサーバが .in または .out 構文を許可しない場合、アクセス リストはデフォルトで発信ACLに適用されます。スイッチ上ではCisco IOSアクセス リストのサポートは限定されているため、フィルタIDアトリビュートは番号が1~199および1300~2699までのIP ACL(IP標準ACLとIP拡張ACL)でのみサポートされています。
1ポートがサポートする802.1x認証ユーザは1ユーザのみです。複数ホスト モードがポートでイネーブルの場合、ユーザ単位ACLアトリビュートは関連ポートでディセーブルです。
ユーザ単位ACLの最大サイズは、4000 ASCII文字です。
ベンダー固有のアトリビュートの例については、「ベンダー固有のRADIUSアトリビュート用にスイッチを設定する方法」を参照してください。ACLの設定の詳細については、 第28章「ACLによるネットワーク セキュリティの設定」 を参照してください。
ユーザ単位ACLを設定するには、以下を実行する必要があります。
• network キーワードを使用してAAA許可をイネーブルにし、RADIUSサーバからのインターフェイス設定を可能にします。
802.1xとスイッチ スタック
スイッチがスイッチ スタックで追加または削除されても、RADIUSサーバとスタック間のIP接続がそのまま残っている限りは、802.1x認証には影響はありません。このことは、スタック マスターがスイッチ スタックから削除された場合にも当てはまります。スタック マスターに障害が生じると、スタック メンバーが 第5章「スイッチ スタックの管理」 に記載された選択プロセスを使用して新たなスタック マスターとなり、802.1x認証プロセスが通常どおり継続される点に注意してください。
RADIUSサーバへのIP接続が、サーバに接続されていたスイッチが削除された、またはそのスイッチに障害が発生したといった理由で切断された場合には、次のイベントが発生します。
• すでに認証済みで定期的な再認証がイネーブル化されていないポートは、認証ステートのままです。RADIUSサーバとのやり取りは必要ありません。
• すでに認証済みで、定期的な再認証がイネーブル化されているポートは( dot1x re-authentication グローバル コンフィギュレーション コマンドを使用して) 、再認証時に認証プロセスに失敗します。ポートは、再認証プロセスで非認証ステートに戻ります。RADIUSサーバとのやり取りが必要となります。
障害の発生したスイッチが再びアップし、スイッチ スタックに参加した場合は、起動時間と、認証が試行されるまでにRADIUSサーバへの接続が再確立されたかどうかによって、認証は失敗することもあればしないこともあります。
RADIUSサーバへの接続の切断を避けるには、冗長接続を確立しておく必要があります。たとえば、スタック マスターへの冗長接続とスタック メンバーへの別の冗長接続を確立しておけば、スタック マスターに障害が発生しても、スイッチ スタックはRADIUSサーバへの接続を維持できます。
802.1x認証の設定
ここでは、スイッチに802.1xポートベースの認証を設定する手順を説明します。
• 「802.1x認証の設定」(必須)
• 「スイッチとRADIUSサーバ間通信を設定する方法」(必須)
• 「定期的な再認証の設定」(任意)
• 「手動によるポート接続クライアントの再認証」(任意)
• 「待機時間の変更」(任意)
• 「スイッチとクライアント間の再送信時間の変更」(任意)
• 「スイッチとクライアント間のフレーム再送信回数の設定」(任意)
• 「ホスト モードの設定」(任意)
• 「ゲストVLANの設定」(任意)
• 「802.1x設定をデフォルト値にリセットする方法」(任意)
802.1xのデフォルト設定
表 10-1 に、802.1xのデフォルト設定を示します。
802.1x設定時の注意事項
• 802.1xがイネーブルに設定されていると、他のレイヤ2またはレイヤ3機能がイネーブルになる前に、ポートは認証されます。
• 802.1xプロトコルはレイヤ2スタティックアクセス ポート、音声VLANポート、レイヤ3ルーテッド ポートでサポートされていますが、次のポート タイプではサポートされていません。
–トランク ポート ― トランク ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。
–ダイナミック ポート ― ダイナミック モードのポートは、近接ポートとネゴシエーションしてトランク ポートになる可能性があります。ダイナミック ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。
–ダイナミック アクセス ポート ― ダイナミック アクセス(VLAN Query Protocol [VQP])ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートをダイナミックVLAN割り当てに変更しようとすると、エラー メッセージが表示され、VLAN設定は変更されません。
–EtherChannelポート ― EtherChannelのアクティブ メンバーであるポートは802.1xポートとして設定しないでください。EtherChannelのまだアクティブになっていないポートで802.1xをイネーブルにしても、ポートはEtherChannelに加入しません。
–Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)およびRemote SPAN(RSPAN;リモートSPAN)宛先ポート ― SPANまたはRSPAN宛先ポートであるポートで802.1xをイネーブルにできます。ただし、SPANまたはRSPAN宛先ポートとして削除するまでは、802.1xはディセーブルになります。SPANまたはRSPAN送信元ポートでは、802.1xをイネーブルにできます。
• RSPAN VLANまたは音声VLANを除き、任意のVLANを802.1xゲストVLANとして設定できます。ゲストVLAN機能は、内部VLAN(ルーテッド ポート)またはトランク ポートではサポートされていません。アクセス ポート上でのみサポートされます。
• 802.1xをポートでイネーブルにすると、音声VLANと同じようにポートVLANを設定できません。
• VLAN割り当て機能付きの802.1xは、トランク ポート、ダイナミック ポート、またはVMPSを使用したダイナミック アクセス ポート割り当てではサポートされていません。
旧ソフトウェア リリースからのアップグレード
Cisco IOS Release 12.1(14)EA1では、802.1xの実装はそれ以前のリリースとは異なっています。一部のグローバル コンフィギュレーション コマンドがインターフェイス コンフィギュレーション コマンドとなり、新たなコマンドが追加されました。
802.1xが設定済みのスイッチをCisco IOS Release 12.1(14)EA1以上へアップグレードした場合は、コンフィギュレーション ファイルに新規コマンドが含まれないため、802.1xは動作しません。アップグレードが完了後に、 dot1x system-auth-control グローバルコンフィギュレーション コマンドを使用してグローバルに802.1xをイネーブル化する必要があります。802.1xが以前のリリースのポート上で複数ホスト モードで稼働していた場合は、必ず、 dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用してそれを再設定してください。
802.1x認証の設定
802.1xポートベースの認証をイネーブルにするには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。
ソフトウェアは、1番めにリストされた方式を使用して、ユーザを認証します。その方式が応答に失敗すると、ソフトウェアは方式リストの次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試すまで続きます。このサイクルのいずれかの地点で認証が失敗すると、認証プロセスは停止し、他の認証方式が試行されることはありません。
ユーザ単位ACLまたはVLAN割り当てを可能にするには、AAA許可をイネーブルにしてネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。
802.1xポートベースの認証を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。
|
|
|
|
|---|---|---|
| authentication コマンドに名前付きリストが 指定されない 場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルトの状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。 • • |
||
(任意)ユーザ単位ACLやVLAN割り当てなど、ネットワーク関連のすべてのサービス要求に対するユーザRADIUS許可をスイッチに設定します。
(注) ユーザ単位ACLの場合は、単一ホスト モードを設定する必要があります。これはデフォルト設定です。 |
||
クライアントに接続されたポートの中で、802.1x認証をイネーブルにするものを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
| 機能の相互作用の詳細については、「802.1x設定時の注意事項」を参照してください。 |
||
AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。802.1x AAA認証をディセーブルにするには、 no aaa authentication dot1x { default | list-name } グローバル コンフィギュレーション コマンドを使用します。802.1x AAA許可をディセーブルにするには、 no aaa authorization グローバル コンフィギュレーション コマンドを使用します。スイッチ上で802.1x認証をディセーブルにするには、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。
次に、AAAおよび802.1xをイネーブルにする方法を示します。
スイッチとRADIUSサーバ間通信を設定する方法
RADIUSセキュリティ サーバは、ホスト名またはIPアドレス、ホスト名と特定のUDPポート番号、あるいはIPアドレスと特定のUDPポート番号で識別します。IPアドレスとUDPポート番号の組み合わせにより、一意の識別子が作成され、これにより、サーバ上の同一のIPアドレスの複数のUDPポートにRADIUS要求を送信できます。同一のRADIUSサーバ上の2つの異なるホスト エントリが同じサービス(たとえば、認証)を設定している場合、あとから設定されたホスト エントリは、最初のエントリのフェール オーバー バックアップとして機能します。RADIUSのホスト エントリは、設定された順序で試されます。
スイッチ上にRADIUSサーバ パラメータを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。
特定のRADIUSサーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。
次の例は、IPアドレスが172.20.39.46のサーバをRADIUSサーバとして指定し、ポート1612を許可ポートとして使用し、暗号化鍵をRADIUSサーバ上の鍵と rad123 に設定します。
radius-server host グローバル コンフィギュレーション コマンドを使用すると、すべてのRADIUSサーバに対してタイムアウト、再送信、および暗号化鍵の値をグローバルに設定できます。サーバ単位でこれらのオプションを設定する場合は、 radius-server timeout 、 radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、「すべてのRADIUSサーバに対する設定」を参照してください。
さらに、RADIUSサーバでいくつかの設定を行う必要があります。この設定とは、スイッチのIPアドレス、およびサーバとスイッチで共用するキー ストリングです。詳細については、RADIUSサーバのマニュアルを参照してください。
定期的な再認証の設定
802.1xクライアントの定期的な再認証をイネーブルにして、その発生間隔を指定できます。再認証の間隔を指定しなかった場合は、再認証は3600秒ごとに行われます。
クライアントの定期的な再認証をイネーブルにして、再認証を試行する間隔(秒数)を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
|
|
|
|---|---|---|
定期的な再認証をディセーブルにするには、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。デフォルトの再認証試行間隔に戻すには、 no dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、定期的再認証をイネーブルにし、再認証を試行する間隔を4000秒に設定します。
手動によるポート接続クライアントの再認証
dot1x re-authenticate interface interface-id イネーブルEXECコマンドを使用すると、特定のポートに接続しているクライアントを手動でいつでも再認証できます。この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする場合は、「定期的な再認証の設定」を参照してください。
次に、ポートに接続したクライアントを手動で再認証する方法を示します。
待機時間の変更
スイッチがクライアントを認証できなかった場合は、スイッチは一定時間アイドル状態を続け、その後再試行します。 dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用すると、アイドル時間を制御できます。クライアントが無効なパスワードを提供したため、クライアントの認証失敗が起こる可能性があります。デフォルトより小さい数値を入力することで、ユーザに対する応答時間を短縮できます。
待機時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
|
|
|
|---|---|---|
デフォルトの待機時間に戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。
スイッチとクライアント間の再送信時間の変更
クライアントは、スイッチからのEAP要求/アイデンティティ フレームに、EAP応答/アイデンティティ フレームで応答します。スイッチはこの応答を受信しなかった場合、一定時間(再送信時間)待機してから、フレームを再送信します。
(注) このコマンドのデフォルト値の変更は、信頼性のないリンクや、特定のクライアントおよび認証サーバの動作に問題があるなど、異常な状況を調整する場合以外は行わないようにしてください。
スイッチがクライアントの通知を待機する時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
|
|
|
|---|---|---|
スイッチがクライアントからのEAP要求/アイデンティティ フレームに対する応答を待ち、要求を再送信するまでの秒数を設定します。 |
||
デフォルトの再送信時間に戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、スイッチがクライアントからのEAP要求/アイデンティティ フレームに対する応答を待ち、要求を再送信するまでの秒数を60秒に設定します。
スイッチとクライアント間のフレーム再送信回数の設定
スイッチとクライアント間の再送信時間の変更だけでなく、(応答を受信しなかった場合)認証プロセスを再開するまでに、スイッチがクライアントにEAP要求/アイデンティティ フレームを送信する回数を変更できます。
(注) このコマンドのデフォルト値の変更は、信頼性のないリンクや、特定のクライアントおよび認証サーバの動作に問題があるなど、異常な状況を調整する場合以外は行わないようにしてください。
スイッチとクライアント間のフレーム再送信回数を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
|
|
|
|---|---|---|
スイッチが、認証プロセスを再開するまでにEAP要求/アイデンティティ フレームをクライアントに送信する回数を設定します。指定できる範囲は1~10で、デフォルトは2です。 |
||
デフォルトの再送信回数に戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、認証プロセスを再開するまでに、スイッチがEAP要求/アイデンティティ フレームを送信する回数を5に設定します。
ホスト モードの設定
802.1xポートは、単一ホスト モードまたは複数ホスト モードに設定できます。単一ホスト モードでは、802.1xポートで1台のホストだけが許可されます。ホストが認証されると、ポートは許可ステートになります。ホストがポートから切断されると、ポートは無許可ステートになります。認証済みのホスト以外のホストからのパケットは廃棄されます。
図 10-3のように、複数のホストを1つの802.1x対応ポートに接続できます。このモードでは、接続ホストのいずれか1つだけが許可されれば、すべてのホストがネットワーク アクセスを許可されます。ポートが無許可(再認証が失敗するかEAPOLログオフ メッセージを受信した場合)になると、接続されたすべてのクライアントのネットワーク アクセスが拒否されます。
複数ホスト モードがイネーブルの場合、802.1xをポートの認証に使用し、クライアントを含むすべてのMACアドレスへのネットワーク アクセスをポート セキュリティが管理します。
dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている802.1x許可ポート上で、複数のホスト(クライアント)を許可するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
|
|
|
|---|---|---|
802.1x許可ポート上で、複数のホスト(クライアント)を許可します。 指定されたインターフェイスについて 、 dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認します。 |
||
ポート上の複数ホストをディセーブルにするには、no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用します。
次に、802.1xをイネーブルにし、複数のホストを許可する方法を示します。
ゲストVLANの設定
ゲストVLANを設定すると、サーバがEAPOL要求/アイデンティティ フレームへの応答を受信しなかった場合に、802.1x非対応のクライアントはゲストVLANに配置されます。802.1x対応だが、認証に失敗したクライアントは、ネットワークへのアクセスは許可されません。スイッチは、単一ホスト モードまたは複数ホスト モードでゲストVLANをサポートします。
ゲストVLANを設定するには、イネーブルEXECモードで次の手順を行います。この手順は任意です。
|
|
|
|
|---|---|---|
設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされているポート タイプについては、「802.1x設定時の注意事項」を参照してください。 |
||
アクティブVLANを802.1xゲストVLANとして指定します。指定できる範囲は1~4094です。 内部VLAN(ルーテッド ポート)、RSPAN VLAN、または音声VLANを除き、任意のアクティブVLANを802.1xゲストVLANとして設定できます。 |
||
ゲストVLANをディセーブル化し削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは、無許可ステートに戻ります。
次に、VLAN 2を802.1xゲストVLANとして設定する方法を示します。
802.1x設定をデフォルト値にリセットする方法
802.1x設定をデフォルト値にリセットするには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
|
|
|
|---|---|---|
802.1x統計情報およびステータスの表示
すべてのポートの802.1x統計情報を表示するには、 show dot1x all statistics イネーブルEXECコマンドを使用します。特定のポートの802.1x統計情報を表示するには、 show dot1x statistics interface interface-id イネーブルEXECコマンドを使用します。
スイッチについて802.1x管理および動作のステータスを表示するには、 show dot1x all イネーブルEXECコマンドを使用します。特定のポートの802.1x管理および動作のステータスを表示するには、 show dot1x interface interface-id イネーブルEXECコマンドを使用します。
フィードバック